Američki telekomi će se takmičiti sa telefonskom neželjenom poštom

U Sjedinjenim Državama tehnologija provjere autentičnosti pretplatnika – protokol SHAKEN/STIR – uzima maha. Razgovarajmo o principima njegovog rada i potencijalnim poteškoćama u implementaciji.

/Flickr/ Mark Fischer / CC BY-SA

Problem sa pozivima

Neželjeni automatski pozivi najčešći su uzrok žalbi potrošača Federalnoj trgovinskoj komisiji. Organizacija je 2016 zabeležio pet miliona pogodaka, godinu dana kasnije ova brojka je premašila sedam miliona.

Takvi neželjeni pozivi oduzimaju ljudima više od vremena. Usluge automatskog pozivanja koriste se za iznudu novca. Prema YouMail-u, u septembru prošle godine, 40% od četiri milijarde automatskih poziva su počinili prevaranti. Njujorčani su tokom ljeta 2018. izgubili oko tri miliona dolara u transferima kriminalcima koji su ih zvali u ime vlasti i iznuđivali novac.

Na problem je skrenuta pažnja Federalne komisije za komunikacije SAD (FCC). Predstavnici organizacije dao izjavu, koji je od telekomunikacionih kompanija zahtevao da implementiraju rešenje za borbu protiv telefonske neželjene pošte. Ovo rješenje je bio SHAKEN/STIR protokol. U martu je zajednički testiran potrošeno AT&T i Comcast.

Kako funkcioniše protokol SHAKEN/STIR

Telekom operateri će raditi s digitalnim certifikatima (izgrađeni su na osnovu kriptografije javnog ključa), što će im omogućiti da verifikuju pozivaoce.

Postupak verifikacije će se odvijati na sljedeći način. Prvo, operater osobe koja poziva prima zahtjev SIP POZOVITE da uspostavite vezu. Usluga provjere autentičnosti provajdera provjerava informacije o pozivu - lokaciju, organizaciju, podatke o uređaju pozivaoca. Na osnovu rezultata verifikacije, pozivu se dodeljuje jedna od tri kategorije: A – poznati su svi podaci o pozivaocu, B – poznata je organizacija i lokacija i C – poznata je samo geografska lokacija pretplatnika.

Nakon toga, operater u zaglavlje INVITE zahtjeva dodaje poruku sa vremenskom oznakom, kategorijom poziva i linkom na elektronski certifikat. Evo primjera takve poruke iz GitHub repozitorija jedan od američkih telekoma:

{
	"alg": "ES256",
        "ppt": "shaken",
        "typ": "passport",
        "x5u": "https://cert-auth.poc.sys.net/example.cer"
}

{
        "attest": "A",
        "dest": {
          "tn": [
            "1215345567"
          ]
        },
        "iat": 1504282247,
        "orig": {
          "tn": "12154567894"
        },
        "origid": "1db966a6-8f30-11e7-bc77-fa163e70349d"
}

Zatim, zahtjev ide do provajdera pozvanog pretplatnika. Drugi operater dešifruje poruku koristeći javni ključ, upoređuje sadržaj sa SIP INVITE i provjerava autentičnost certifikata. Tek nakon toga se uspostavlja veza između pretplatnika, a strana „primalac“ dobija obaveštenje ko ga zove.

Cijeli proces verifikacije može se prikazati na sljedećem dijagramu:

Prema riječima stručnjaka, provjera pozivatelja će uzeti ne više od 100 milisekundi.

Mišljenja

Kako zabeleženo u Udruženju USTelecom, SHAKEN/STIR će ljudima dati veću kontrolu nad pozivima koje primaju – što će im olakšati da odluče da li će podići slušalicu.

Pročitajte na našem blogu:

• Botnet “spam” putem rutera: šta treba da znate
• DDOS i 5G: deblja "cijev" znači više problema

Ali postoji konsenzus u industriji da protokol neće biti srebrni metak. Stručnjaci kažu da će prevaranti jednostavno koristiti rješenja. Spameri će moći da registruju "lažnu" PBX u mreži operatera u ime organizacije i preko nje upućuju sve pozive. Ako je PBX blokirana, moći će se jednostavno ponovo registrovati.

By prema predstavnika jednog od telekoma, jednostavna verifikacija pretplatnika korišćenjem sertifikata nije dovoljna. Da biste zaustavili prevarante i spamere, morate omogućiti provajderima da automatski blokiraju takve pozive. Ali da bi to uradila, Komisija za komunikacije će morati da razvije novi set pravila koja će regulisati ovaj proces. I FCC bi se mogao pozabaviti ovim pitanjem u bliskoj budućnosti.

Od početka godine kongresmeni razmatraju novi zakon koji će Komisiju obavezati da razvije mehanizme zaštite građana od robotskih poziva i prati primjenu standarda SHAKEN/STIR.

/Flickr/ Jack Sem / CC BY

Vrijedi napomenuti da PROMJEŠANJE implementirano u T-Mobileu - za neke modele pametnih telefona i planira proširenje asortimana podržanih uređaja - i Verizon — klijenti njegovog operatera mogu preuzeti posebnu aplikaciju koja će upozoravati na pozive sa sumnjivih brojeva. Drugi američki operateri još uvijek testiraju tehnologiju. Očekuje se da će završiti testiranje do kraja 2019.

Šta još pročitati na našem blogu na Habréu:

• Bitka za neutralnost mreže je šansa za povratak
• Situacija: Japan može ograničiti preuzimanje sadržaja s interneta - pogledajmo to i razgovarajmo o tome
• Novi standard baziran na PCIe 5.0 će "povezati" CPU i GPU - šta se o njemu zna

izvor: www.habr.com